Posted on 2006-03-25 15:16
風塵仆仆 閱讀(934)
評論(0) 編輯 收藏
最近一次上網的時候,監控程序報有一可執行文件LOADHW.EXE將登錄在啟動項里。我曉得肯定是中毒了,但當時我的諾頓病毒庫未即時更新,還查不出該病毒來。于是,自己動手查,終于將其殺掉了,現將過程記錄如下。
中招后的跡象比較明顯,一是啟動電腦時輸入用戶名和密碼后,鼠標光標會變成漏斗狀,且進入系統所需時間顯示變長;二是關機或重啟的時候,第一次按確定按鈕并不關機,而是屏幕變暗,這時點擊鼠標可以回到桌面,要再一次選擇關機或重啟才能生效。
該木馬一共有三個文件,分別是:
C:\WINNT\System32\LOADHW.EXE
C:\WINNT\System32\msitinit.dll
C:\WINNT\System32\drivers\npf.sys
LOADHW.EXE是一個安裝文件,在會把自己注冊在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被刪除掉,并不影響木馬的運行,只是在開機時會報該文件不存在。
msitinit.dll是常駐內存的,但注冊表中并沒有記錄它(很狡猾)。
npf.sys注冊為一個服務程序,且在“控制面板->管理工具->服務”中看不到,要在注冊表中才能看到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTF
它負責在啟動時將msitinit.dll調入內存,以及一些其它操作。
用WinPatrol軟件中CAT將這三個文件都列入黑名單(不然msitinit.dll會在開機時駐進內存而無法刪除),重啟電腦,刪除這些文件和相應的注冊表記錄,病毒就給刪除了。
雖然病毒刪除了,但也在注冊表中留下了很多的垃圾鍵值,且我還不知道刪除這些鍵值會不會對系統有什么影響,所以一直沒有敢冒然清理:
例如,在Npf的注冊項里有一個ClassGUID={8ECC055D-047F-11DI-A537-0000F8753ED1}
有不少地方都有對它的引用。另外,如果你用UltraEdit打開npf.sys,其中一部分是亂碼,還有一部分可識別的文本中就有一些注冊表鍵值,我也不清楚能否刪除它們,所以只好保留著。
反正,與病毒的對抗中,永遠不可能成為贏家!